Ako ste na računalo ili pametni telefon instalirali sigurnosni softver (sjajna ideja!), Možda se pitate kako djeluje antivirus? Zavirimo ispod haube antivirusa kako bismo shvatili kako oni rade i zašto trebamo instalirati antivirus!
Virusni potpisi: imat ćete osnove
Kada pravilno funkcionira, sigurnosni softver trebao bi moći prepoznati i blokirati virus. Kako to čini? Prva razina je prepoznavanje njegovog potpisa. Kao i svaka datoteka, virus se sastoji od bajtova. Općenito, govorimo o "bajtu" (ili bajtu) za 8 bitova, ali njegova veličina zapravo može biti između 1 i 48 bita.Web mjesto poput Fileformat.info omogućuje vam stvaranje "odlagališta" i prikaz datoteke u nizu bajtova, predstavljenih u heksadecimalnom formatu. Vratit će uspomene najstarijima od vas.
Potpis datoteke niz je uzastopnih bajtova koji su specifični za nju i koji joj omogućuju prepoznavanje. Nije točna znanost, ali moguće je prepoznati ponavljajuće uzorke u jednom ili više zlonamjernih programa i tako ih otkriti.
Baza podataka potpisa potpisuje sve potpise zlonamjernog softvera poznate u određeno vrijeme i dugo je bila jedina komponenta koja je omogućavala otkrivanje virusa ili zlonamjernog softvera. Jednostavan opis načina rada dovoljan je da prepozna njegove nedostatke: da bi samo ovaj postupak otkrio zlonamjerni softver, on mora biti već poznat.
Tijekom posljednjih desetak godina ili tako nekako, postupci za ažuriranje ovih baza podataka s potpisima znatno su se poboljšali, koristeći posebno "push" tehnike kako bi se korisnicima što brže ponudili novi potpisi, a ne ažuriranja. redovito u udaljenijim intervalima.
Angažiranje korisnika u otkrivanju zlonamjernih datoteka putem oblaka također je pomoglo ubrzati isporuku virusnih potpisa. Međutim, baze podataka potpisa, ako se i dalje koriste, samo su jedna od sastavnica moderne zaštite.
Ispod poklopca motora
U tom kontekstu govorimo o mehanizmu analize. Motor objedinjuje sve tehnologije potrebne za otkrivanje i uklanjanje zlonamjernog softvera. To uključuje bazu podataka potpisa, ali i komponente potrebne za druge modernije tehnike, poput heurističke ili analize ponašanja. Ovdje više nećemo jednostavno otkrivati poznate datoteke, već ćemo analizirati njihovo ponašanje u sustavu, što omogućuje prevladavanje ograničenja baze podataka potpisa, a time i otkrivanje prijetnji koje još nisu identificirane.Heurističko skeniranje može uključivati "dekompiliranje" zlonamjerne datoteke kako bi je analizirali i usporedili njezinu strukturu s već poznatim kodom, tražeći sličnosti koje je mogu identificirati kao novu, nepoznatu prijetnju. Druga složenija metoda pokreće datoteku u pješčaniku, tražeći sumnjivo ponašanje.
Takozvana analiza ponašanja, s druge strane, nadgleda operativni sustav na poznata sumnjiva ponašanja, poput abnormalnih izmjena datoteka. Tada ponašanje blokira antivirus. Stoga će antivirusni mehanizam sadržavati komponente poput emulatora koji omogućuje izvršavanje zlonamjernog koda u sigurnom okruženju, modul za dekompresiju arhiva ili čak dekompaktor odgovoran za seciranje izvršnih datoteka.
Središnja, ali modularna komponenta
Pokretač antivirusa ili sigurnosnog paketa dizajniran je za modularno. U središtu je svih rješenja izdavača i moramo biti u mogućnosti cijepiti ostale komponente i korisničko sučelje za njih. Međutim, ako "osnovni" antivirusni program, sigurnosni paket ili rješenje "potpune sigurnosti" imaju različite funkcionalnosti, svi koriste isti mehanizam.Neki dobavljači sigurnosnog softvera također prodaju svoj motor kao bijelu etiketu, tako da ih možemo pronaći u nekoliko rješenja različitih dobavljača. Sigurnosni paket čak može koristiti dva pokretača - alternativno ili u kombinaciji - za optimizaciju otkrivanja i uklanjanja zlonamjernih datoteka.
